

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 AWS HealthImaging
<a name="getting-started-setting-up"></a>

您必須先設定 AWS 環境，才能使用 AWS HealthImaging。下列主題是下一節教學[課程](getting-started-tutorial.md)的先決條件。

**Topics**
+ [註冊 AWS 帳戶](#sign-up-for-aws)
+ [建立 S3 儲存貯體](#setting-up-create-s3-buckets)
+ [建立資料存放區](#setting-up-create-data-store)
+ [使用 HealthImaging 完整存取許可建立 IAM 使用者](#setting-up-create-iam-user)
+ [建立用於匯入的 IAM 角色](#setting-up-create-iam-role-import)
+ [安裝 AWS CLI （選用）](#setting-up-install-cli)

## 註冊 AWS 帳戶
<a name="sign-up-for-aws"></a>

若要開始使用 AWS，您需要 AWS 帳戶。如需建立 的相關資訊 AWS 帳戶，請參閱《 *AWS 帳戶管理 參考指南*》中的 [入門 AWS 帳戶](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html)。

## 建立 S3 儲存貯體
<a name="setting-up-create-s3-buckets"></a>

若要將 DICOM P10 資料匯入 AWS HealthImaging，建議使用兩個 Amazon S3 儲存貯體。Amazon S3 輸入儲存貯體存放要匯入的 DICOM P10 資料，且 HealthImaging 會從此儲存貯體讀取。Amazon S3 輸出儲存貯體會儲存匯入任務的處理結果，而 HealthImaging 會寫入此儲存貯體。如需視覺效果，請參閱 的圖表[了解匯入任務](understanding-import-jobs.md)。

**注意**  
由於 AWS Identity and Access Management (IAM) 政策，您的 Amazon S3 儲存貯體名稱必須是唯一的。如需詳細資訊，請參閱《Amazon Simple Storage Service 使用者指南》**中的[儲存貯體命名規則](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)。

為了本指南的目的，我們在 IAM 角色中指定下列 Amazon S3 輸入和輸出儲存貯體以進行匯入。 [建立用於匯入的 IAM 角色](#setting-up-create-iam-role-import)
+ 輸入儲存貯體： `arn:aws:s3:::{{amzn-s3-demo-source-bucket}}`
+ 輸出儲存貯體： `arn:aws:s3:::{{amzn-s3-demo-logging-bucket}}`

如需詳細資訊，請參閱《*Amazon S3 使用者指南*》中的[建立儲存貯](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)體。

## 建立資料存放區
<a name="setting-up-create-data-store"></a>

當您匯入醫療影像資料時，AWS HealthImaging [資料存放區](getting-started-concepts.md#concept-data-store)會保留轉換後 DICOM P10 檔案的結果，稱為[影像集](getting-started-concepts.md#concept-image-set)。如需視覺效果，請參閱 的圖表[了解匯入任務](understanding-import-jobs.md)。

**提示**  
`datastoreID` 會在您建立資料存放區時產生 。在本節稍後完成[trust relationship](#anchor-trust-relationship)匯入`datastoreID`時，您必須使用 。

若要建立資料存放區，請參閱 [建立資料存放區](create-data-store.md)。

## 使用 HealthImaging 完整存取許可建立 IAM 使用者
<a name="setting-up-create-iam-user"></a>

**最佳實務**  
我們建議您針對匯入、資料存取和資料管理等不同需求建立個別的 IAM 使用者。這符合 *AWS Well-Architected Framework* 中的[授予最低權限存取](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html)。  
為達下一節[教學](getting-started-tutorial.md)的目的，您將使用單一 IAM 使用者。

**建立 IAM 使用者**

1. 請遵循《[IAM 使用者指南》中在 AWS 帳戶中建立](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html) *IAM* 使用者的指示。考慮命名使用者 `ahiadmin`（或類似者） 以進行釐清。

1. 將 `AWSHealthImagingFullAccess`受管政策指派給 IAM 使用者。如需詳細資訊，請參閱[AWS 受管政策：AWSHealthImagingFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSHealthImagingFullAccess)。
**注意**  
IAM 許可可以縮小範圍。如需詳細資訊，請參閱[AWS AWS HealthImaging 的 受管政策](security-iam-awsmanpol.md)。

## 建立用於匯入的 IAM 角色
<a name="setting-up-create-iam-role-import"></a>

**注意**  
下列指示是指 AWS Identity and Access Management (IAM) 角色，可授予 Amazon S3 儲存貯體的讀取和寫入存取權，以匯入您的 DICOM 資料。雖然下一節的[教學](getting-started-tutorial.md)課程需要 角色，但我們建議您使用 將 IAM 許可新增至使用者、群組和角色[AWS AWS HealthImaging 的 受管政策](security-iam-awsmanpol.md)，因為它們比自行撰寫政策更容易使用。

IAM 角色是您可以在帳戶中建立的另一種 IAM 身分，具有特定的許可。若要啟動匯入任務，呼叫`StartDICOMImportJob`動作的 IAM 角色必須連接到使用者政策，該政策會授予讀取 DICOM P10 資料和儲存匯入任務處理結果的 Amazon S3 儲存貯體存取權。還必須指派信任關係 （政策），讓 AWS HealthImaging 擔任該角色。

**建立用於匯入目的的 IAM 角色**

1. 使用 [IAM 主控台](https://console.aws.amazon.com/iam)建立名為 的角色`ImportJobDataAccessRole`。您可以在下一節的[教學](getting-started-tutorial.md)課程中使用此角色。如需詳細資訊，請參閱《 IAM 使用者指南》**中的[建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。
**提示**  
基於本指南的目的， 中的程式碼範例會[啟動匯入任務](start-dicom-import-job.md)參考 IAM `ImportJobDataAccessRole` 角色。

1. 將 IAM 許可政策連接至 IAM 角色。此許可政策授予 Amazon S3 輸入和輸出儲存貯體的存取權。將下列許可政策連接至 IAM 角色 `ImportJobDataAccessRole`。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Action": [
                   "s3:ListBucket"
               ],
               "Resource": [
                   "arn:aws:s3:::{{amzn-s3-demo-source-bucket}}",
                   "arn:aws:s3:::{{amzn-s3-demo-logging-bucket}}"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "s3:GetObject"
               ],
               "Resource": [
                   "arn:aws:s3:::{{amzn-s3-demo-source-bucket}}/*"
               ],
               "Effect": "Allow"
           },
           {
               "Action": [
                   "s3:PutObject"
               ],
               "Resource": [
                   "arn:aws:s3:::{{amzn-s3-demo-logging-bucket}}/*"
               ],
               "Effect": "Allow"
           }
       ]
   }
   ```

------

1. 將下列信任關係 （政策） 連接至 IAM `ImportJobDataAccessRole` 角色。信任政策需要您完成 區段時`datastoreId`產生的 [建立資料存放區](#setting-up-create-data-store)。本主題後面的[教學](getting-started-tutorial.md)課程假設您使用一個 AWS HealthImaging 資料存放區，但使用資料存放區特定的 Amazon S3 儲存貯體、IAM 角色和信任政策。
**注意**  
此信任政策中的 `Condition`區塊透過確保只能存取您的特定 AWS HealthImaging 資料存放區，協助防止混淆代理人問題。如需此安全措施的詳細資訊，請參閱 [ HealthImaging 中的跨服務混淆代理人預防](https://docs.aws.amazon.com/healthimaging/latest/devguide/cross-service-confused-deputy-prevention.html)。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "medical-imaging.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

若要進一步了解如何透過 AWS HealthImaging 建立和使用 IAM 政策，請參閱 [AWS HealthImaging 的 Identity and Access Management](security-iam.md)。

若要進一步了解 IAM 角色，請參閱《IAM **[使用者指南》中的 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。若要進一步了解 IAM 政策和許可，請參閱《IAM **[使用者指南》中的 IAM 政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。

## 安裝 AWS CLI （選用）
<a name="setting-up-install-cli"></a>

如果您使用 ，則需要下列程序 AWS Command Line Interface。如果您使用的是 AWS 管理主控台 AWS SDKs，則可以略過下列程序。

**若要設定 AWS CLI**

1. 下載和設定 AWS CLI。如需說明，請參閱*《AWS Command Line Interface 使用者指南》*中的下列主題。
   + [安裝或更新最新版本的 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
   + [開始使用 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)

1. 在 AWS CLI `config`檔案中，新增管理員的具名設定檔。您在執行 AWS CLI 命令時使用此設定檔。在最低權限的安全原則下，我們建議您建立具有所執行任務特定權限的個別 IAM 角色。如需具名設定檔的詳細資訊，請參閱*AWS Command Line Interface 《 使用者指南*》中的[組態和登入資料檔案設定](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html)。

   ```
   [default]
   aws_access_key_id = {{default access key ID}}
   aws_secret_access_key = {{default secret access key}}
   region = {{region}}
   ```

1. 使用以下`help`命令驗證設定。

   ```
   aws medical-imaging help
   ```

   如果 AWS CLI 設定正確，您會看到 AWS HealthImaging 的簡短描述和可用命令的清單。